Вильям Саймон и др.: «Искусство обмана»
ботка продукта были тщательно охраняемой производственной тайной, такой же ценной и защи-
щенной, как и все, чем владела компания. Дэнни знал это. И нисколько не беспокоился. Как-ни-
как, это была всего лишь некая большая безымянная компания.
Но как получить исходный код программы? Как оказалось, похищение «драгоценностей» 
из группы защищенной связи было слишком легким, несмотря на то что компания была одной из 
тех организаций, где используется аутентификация по двум условиям, при которой требуется не 
один, а два индентификатора для доказательства своей подлинности.
Вот пример, с которым вы уже, возможно, знакомы. Когда к вам приходит новая кредитная 
карта, вас просят позвонить в компанию-эмитент, чтобы там знали, что карта находится у ее вла-
дельца, а не кого-то, кто украл конверт на почте. В наши дни указания на карте, как правило, 
предписывают звонить вамиз дома. Когда вы звоните, программа в компании анализирует но-
мер, автоматически определенный на телефонном коммутаторе, через который проходят бес-
платные звонки. Компьютер в компании-эмитенте сравнивает телефонный номер звонившего с 
номером в базе данных владельцев кредитных карт. К тому времени, как служащий возьмет 
трубку, на его дисплее будет отображена информация о клиенте из базы данных. служащий уже 
знает, что звонок сделан из дома клиента,.
Lingo
Аутентификация по двум условиям – использование двух разных типов аутентификации 
для идентификации. Например, человек может идентифицировать себя звоня из определенного 
места и зная пароль.
Затем служащий выбирает элемент отображаемых о вас данных – чаще всего номер (соци-
ального обеспечения), дату рождения, девичью фамилию матери – и задает вам вопрос. Если вы 
даете правильный ответ, это вторая форма аутентификации, основанная на сведениях, которые 
вы должны знать.
В компании, выпускающей защищенные радиосистемы, у каждого служащего, имеющего 
доступ к компьютеру, имелись имя и пароль, которые дополнялись небольшим электронным 
устройством – Secure ID (безопасный идентификатор). Это то, что называют синхронизируемым 
жетоном. Такие устройства делаются двух типов: одно из них размером с половину кредитной 
карты, но немного толще; другое настолько мало, что люди могут присоединить его к связке 
ключей.
В этом устройстве из мира криптографии имеется маленький шестиразрядный дисплей. 
Каждые 60 секунд на дисплее отображается новое шестизначное число. Когда человеку нужен 
доступ к сети, сначала он должен идентифицировать себя как зарегистрированного пользователя, 
введя секретный PIN-код и число, отображаемое его устройством. Пройдя проверку внутренней 
системы, он затем должен ввести имя и пароль.
Для получения исходного кода, которого так жаждал юный Дэнни, нужно было не только 
скомпрометировать имя пользователя и пароль одного из служащих (что не представляет особой 
сложности для опытного социального инженера), но и добраться до синхронизируемого жетона.
Прохождение аутентификации по двум условиям с использованием синхронизируемого 
жетона в сочетании с секретным PIN-кодом кажется невыполнимой миссией. Для социальных 
инженеров задача подобна той, когда игрок в покер, который обладает не просто умением «чи-
тать» своих противников.

Download 0.94 Mb.

Do'stlaringiz bilan baham: